성인 사진물을 이용한 악성코드 감염 시도

해외 시각 2009년 11월 27일 영국 보안 업체인 소포스(Sophos)에서 온라인 게임 사용자 정보를 유출하기 위한 목적의 악성코드가 스팸 메일에 첨부되어 유포되었다는 “Spammer believes WOW users are sad lonely men.” 글을 게시한 바가 있다.

소포스에서 밝힌 해당 악성코드는 아래와 같은 전자 메일 형식으로 되어 있으며 스팸 메일(Spam Mail)성으로 유포되었다고 한다.

* 메일 제목

Do you like to find a girlfriend like me ?

* 메일 본문

Wish to have a boyfriend

Be able to protect me, take care of me

Intolerable lonely night and would like to have your care.

do you Willing ?

This is my photos.

* 첨부 파일

my photos.rar

위와 같은 전자 메일에 RAR 압축 파일로 첨부되어 있는 해당 파일의 압축을 해제하면 다음 이미지와 같은 3개의 폴더가 생성된다.

생성된 해당 폴더들에는 소포스에서 밝힌 바와 같이 다수의 성인 사진들이 존재하며 그 중 동영상 파일로 위장한 실행 파일이 2개 존재한다.

해당 동영상 파일은 온라인 게임 및 유명 포털 웹 사이트의 사용자 정보들을 외부로 유출하기 위해 제작된 악성코드이다.

해당 악성코드가 실행이 되면 사용자 계정의 Temp 폴더에 4255xxx.dll (25,088 바이트)의 파일을 생성 한다. 생성 된 해당 DLL 파일은 인터넷 익스플로러(Internet Explorer)를 통해 특정 온라인 게임 웹 사이트와 유명한 포털 웹 사이트들에 접속하여 입력하는 사용자 정보를 가로채어 중국에 위치한 특정 서버로 전송을 시도하게 된다.

V3 제품군에서는 해당 악성코드들을 다음과 같이 진단한다.

Win-Trojan/MulDrop.31768

Win-Trojan/Agent.25088.PR

이러한 전자 메일을 통해 유포되는 악성코드의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지하는 것이 중요하다

1. 안티 스팸 솔루션 도입을 통해 스팸 및 악의적인 전자 메일의 유입을 최소화 하도록 한다.

2. 메일을 보낸 사람이 잘 알지 못 하는 사람일 경우 가급적 메일을 열지 말고 삭제하는 것이 좋다.

3. 사용중인 컴퓨터 시스템에 백신을 설치하고 실시간 감시를 켜두는 것이 중요하다.

4. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

5. 전자 메일에 존재하는 의심스런 웹 사이트 링크는 클릭하지 않는다. 그리고 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

6. 악성코드의 감염을 예방하기 위해 사용하는 컴퓨터 시스템의 윈도우, 인터넷 익스플로러 및 오피스 제품 등에 존재하는 취약점을 제거하는 보안 패치를 모두 설치 하도록 한다.